Professional Documents
Culture Documents
Mrio Aquino
mario.aquino@bol.com.br
Yahoo Groups: prof_marioaquino
Famlia Windows
SERVIDOR
CLIENTE
Windows NT Server
Windows NT Workstation
Windows XP
Windows 2008
Windows Vista
Windows 2008 R2
Windows 7
Cluster
NLB
AD
X (8 nodes)
X (8 nodes)
Windows 2008
Sistema Operacional
Server
Core
Hyper-V
Failover
Cluster
NLB
AD
64 bits
64 bits
X (16 nodes)
64 bits
X (16 nodes)
X (8 nodes)
Servidor DNS
Servidor de
Servidor de
aplicativos
arquivos
Servidor de impresso
Servidor de
terminal
Professor Mrio Aquino
Licenciamento
Per Server - A licena fica no lado do servidor
permitindo x estaes acessarem o sistema
Per Seat - A licena fica no lado do cliente permitindo
acessar qualquer servidor
Podemos alterar de per server para seat, mas no o
contrrio
No Windows 2008 s existe licena para o servio de
Terminal Services - Remote Desktop Services
Servio de diretrio
Identifica recursos
Fornece uma maneira
consistente de:
Nomear
Descrever
Localizar
Acessar
Gerenciar
Proteger
Domnio
nwtrader.msft
rvore
asia.
nwtrader.msft
Unidades
organizacionais
em um
domnio
au.
nwtrader.msft
brisbane.au.
nwtrader.msft
Active Directory
RODC - Read Only Domain Controllers (somente 2008)
Politicas de senhas e ARS - Administrator Role Separation
Restartable AD DS permite desfragmentar off-line, aplicar fixs.
(somente 2008). Directory service restore mode ainda
utilizado para restaurar backup
Global Catalog - Controlador de domnio que possui uma
cpia dos principais atributos dos principais objetos de toda
a floresta
Recycle Bin (somente 2008 R2 - nvel funcional de floresta)
Fine-grained password policies - permite mais de uma politica
de senhas (PSO) por domnio (GPO) (nvel funcional de
domnio 2008)
Professor Mrio Aquino
Active Directory
Componentes fsicos: Sites e Controladores de domnio
Componentes lgicos: Floresta, rvore, domnio, OU,
usurio, etc.
O site controla a replicao das bases e agiliza
oprocesso de login.
Exemplo
Nome distinto
relativo do
LDAP
OU=MinhaUnidadeOrganizacional
Nome distinto
do LDAP
OU=MinhaUnidadeOrganizacional,
DC=microsoft, DC=com
Nome cannico
Microsoft.com/MinhaUnidadeOrganizacional
LDAP - Schema
Define as classes, os atributos dos objetos, os atributos
que cada classe possui e os tipos de valores (string,
numbers) que um atributo pode receber.
Permite manter a consistncia dos dados do diretrio,
atravs de suas regras para adio de elementos.
Classes e atributos so nicos no schema
Todo elemento do schema possui um nico OID (Object
Identifier) que o identifica.
LDAP - Operaoes
Bind Autenticar no servidor (Anonymous Authentication,
Simple Authentication, Simple Authentication over SSL/TLS
(TCP 636))
Unbind Finalizar a sesso
Search Procura entradas
Compare - Verifica se uma entrada possui um valor
Add Adiciona uma entrada
Delete Deleta uma entrada
Modify Altera uma entrada existente
Modify RDN Altera uma RDN de uma entrada existente
Abandon Cancela uma operao em execuo
Professor Mrio Aquino
Selecione o domnio
onde a conta de usurio
est localizada
Ferramentas administrativas
Ferramentas administrativas mais usadas:
Usurios e Computadores do Active Directory
Servios e Sites do Active Directory
Domnios e Relaes de Confiana do Active Directory
Gerenciamento do Computador
DNS
reas de Trabalho Remotas
Instale para desempenhar a administrao remota
Ferramentas administrativas
ADMINPAK.MSI para administrao do Windows Server
2003, disponvel no CD de instalao
\i386\Adminpak.msi
Snap-ins
Unidade Organizacional - OU
Organiza objetos em um domnio
Permite a delegao do controle administrativo
Simplifica o gerenciamento de recursos comumente
agrupados
Exemplos de hierarquia
baseada em hibridez
S Sales (Vendas)
C Consultants
(Consultores)
M - Marketing
(Marketing)
Funo
Organizao
Baseada em organizao
M Manufacturing
(Fabricao)
E Engineering
(Engenharia)
R - Research
(Pesquisa)
M
E
Local
Funo
Organizao
Local
Baseada em local
N
F
N Norway
F France
I Indonesia
Professor Mrio Aquino
Contas de usurios
Exemplo
Nome de logon
do usurio
Jayadams
Nome de logon
anterior
ao Windows 2000
Nwtraders\jayadams
Nome de logon
principal
de usurio
Jayadams@nwtraders.msft
Nome distinto
relativo do LDAP
CN=jayadams,CN=users,dc=nwtraders,dc=msft
Descrio
O usurio deve
alterar a senha
no prximo logon
O usurio no
pode alterar
a senha
A senha nunca
expira
Conta desativada
Contas de computadores
Identifica um computador em um domnio
Fornece um meio de autenticao e auditoria do acesso
do computador rede e aos recursos do domnio
necessrio para todos os computadores que
executam o:
Windows Server 2008
Windows Server 2003
Windows 2000
Windows NT
Windows 7, Vista, XP Professional, NT Workstation
Professor Mrio Aquino
O que so grupos?
Grupos simplificam a administrao, pois permitem
a atribuio de permisses para recursos
Grupo
Descrio
Segurana
Distribuio
Windows
2000 misto
(padro)
Windows
2000 nativo
Windows
Server 2003
Windows
Interim
DCs
suportados
Windows NT
Server 4.0,
Windows
2000,
Windows
Server 2003
Windows
NT 4 e
2000,
Windows
Windows
Windows
Server 2003
2003
Server 2003
Escopos
de grupo
com
suporte
Global e
domnio
local
Global,
domnio
local e
universal
Global,
domnio
local e
universal
Professor Mrio Aquino
Windows
2000 nativo
(padro)
DCs
suportados
Windows
2000 server,
Windows
Server 2003
e Windows
server 2008
Windows
server 2003
Windows
Server 2008
Windows
Server 2003 Windows
e Windows Server 2008
server 2008
Grupos Globais
Membros
Podem ser
Membros De
Escopo
Permisses
Grupos Universais
Membros
Podem ser
Membros De
Escopo
Permisses
Membros
Podem ser
Membros De
Escopo
Permisses
Grupos Locais
Membro
Podem ser
Membros De
Grupo
Grupo
Grupo
Grupo
Estratgias de grupos
Contas
de usurios
Grupos globais
Grupos
domnio local
DL
Permisses
Gerente
Grupo
Descrio
Administradores
Operadores de
Servidores
Operadores
de Cpia
Operadores de
Contas
Operadores de
Impresso
Grupos de sistema
Grupos de sistema representam diferentes usurios
em momentos diferentes
Voc pode conceder direitos e permisses de usurio
aos grupos de sistema, mas no pode modificar
ou exibir suas participaes
Os escopos de grupo no se aplicam aos grupos
de sistema
Os usurios so atribudos automaticamente aos grupos
de sistemas quando fazem logon ou acessam
um determinado recurso
Pastas compartilhadas
Copiar uma pasta compartilhada
A pasta compartilhada original ainda compartilhada,
mas no a cpia da pasta
Mover uma pasta compartilhada
A pasta no mais compartilhada
Ocultar uma pasta compartilhada
Inclua um $ depois do nome da pasta compartilhada
Usurios podem acessar uma pasta compartilhada
oculta digitando o UNC.
Por exemplo: \\servidor\segredos$
Professor Mrio Aquino
Compartilhamentos administrativos
(Padro, aplicada
ao grupo Todos)
Alterar
(inclui todas as
permisses de
Leitura)
Controle Total
Leitura
O que so permisses?
As permisses definem o tipo de acesso concedido
a um usurio, grupo ou computador em relao
a um objeto
Voc aplica permisses a objetos como arquivos, pastas,
pastas compartilhadas e impressoras
Voc atribui permisses a usurios e a grupos no
Active Directory ou em um computador
local
Permisses especiais
Permisses de pasta
Controle Total
Modificar
Ler e Executar
Gravar
Leitura
Listar contedo
da pasta
PastaB
Acesso PastaB
Impedem herana
PastaA
Leitura /
Gravao
PastaB
PastaC
Professor Mrio Aquino
Permisses so cumulativas
Permisses de arquivo so diferentes de permisses
de pasta
Negao substitui todas as permisses
Apropriar-se
Pblicas
FC
Usurios
Volume NTFS
Leitura
Alterao
Arquivo1
Arquivo2
Partio NTFS
E:\
Copiar
Ou
Mover
Move
Limites FAT
FAT 12
FAT 16
FAT 32
arquitetura
FAT 32
implementao
2^12 18
clusters
2^16 - 18 clusters
2^28 - 18 clusters
2^28 - 18 clusters
W9X 4,177,918 clusters
Tamanho
mximo
volume
32 MB
4 GB aprox.
(2 GB para Windows (9X)
8 terabytes
(2^28 18) x 32 KB
32 GB
Tamanho
mximo
arquivo
32 MB
4 GB
2^32 1
Bytes
4 GB
2^32 1
Bytes
4 GB
2^32 1
Bytes
Tamanho
mximo
caminho
255
255
255
255
Aprox. 2^12
Aprox. 2^16
Aprox. 2^28
Aprox. 2^28
Mximo
clusters
por volume
Mximo de
arquivos
por volume
NTFS
Windows utiliza clusters de 512 Bytes a 64 KB
NTFS suporta clusters (campos) de 64 bits, mas o Windows
limita a 32 bits.
Permite arquivos de at 16 exabytes, mas o windows limita a
16 TB
Discos MBR suportam parties at 2 TB
Discos DINMICOS e GPT suportam parties maiores que
2TB
DACL - Discretionary Access Control List
Limites NTFS
NTFS
arquitetura
NTFS
implementao
2^64
2^32
Tamanho mximo
volume
256 terabytes - 64 KB
(2^32 x cluster) - 1 cluster
Tamanho mximo
arquivo
16 exabytes -1KB
2^64 bytes 1 Byte
16 terabytes 64KB
2^44 bytes 64 KB
4,294,967,295
(2^32 - 1 arquivo)
4,294,967,295
(2^32 - 1 arquivo)
255
255
NTFS
FAT16/32
Quota de discos
Mount Point
Metadata clustering
Metadata-only journal
x
Professor Mrio Aquino
NTFS
FAT16/32
Hard links
Servidor de arquivos
Windows 2008 suporta Access-based Enumeration.
Usurio visualiza apenas os arquivos que possui
permisso. Pode ser gerenciado pela ferramenta Share
and Storage Management.
File screens - Extenses permitidas
Somente no windows 2003 R2
Windows 2008 gerenciado pelo FSRM
Windows 2008 suporta NFS
Registry
Localizao: %SystemRoot%\System32\Config
Registro um grupo de chaves (diretrios), subchaves e
valores no Registro
Temos 6 root keys que no podemos excluir nem adicionar.
Arquivo com extenso .REG
Utilitrio REG.exe
Remote Registry Service permite acesso remoto.
Altere as permisses de
HKLM\System\CurrentControlSet\Control\SecurePipeServer
s\winreg para determinar quem pode acessar a registry
remotamente.
Professor Mrio Aquino
Descrio / Link
Contm as informaes de configurao para o usurio
que est conectado no momento. um link para
HKEY_USERS.
Contm todos os perfis carregados no momento. Usurios
que esto ativos no momento
Contm informaes de configurao do computador (para
qualquer usurio).
Contm as associaes entre extenses de arquivo e o
tipo de arquivo e as classes dos componentes COM. No
um link direto, mas faz um merge com as chaves
HKLM\SOFTWARE \Classes e HKU\<SID>\Classes
Contm informaes sobre o perfil de hardware utilizado
pelo computador durante a inicilizao. um link para
HKLM\System\CurrentControlSet\Hardware
Profiles\Current
Armazena informaes de performance
Professor Mrio Aquino
Registry - Hives
Composto de um conjunto de arquivos chamados de
HIVES
Hive Registry Path
HKLM\BCD00000000
\Boot\BCD
HKLM\SYSTEM
%SystemRoot%\System32\Config\system
HKLM\SAM
%SystemRoot%\System32\Config\sam
HKLM\SECURITY
%SystemRoot%\System32\Config\security
HKLM\SOFTWARE
%SystemRoot%\System32\Config\software
HKLM\HARDWARE
Volatile hive
HKEY_USERS \<SID>
HKEY_USERS\.DEFAULT
%SystemRoot%\System32\Config\default
Impressoras
Clientes Microsoft
Clientes NetWare
Clientes UNIX
Servio: Servidor de impresso TCP/IP (Line Printer
Daemon protocol LPD)
Porta: Line Printer Remote - LPR
Clientes que do suporte a IPP 1.0
Impressoras de rede:
Servidor de
impresso
Servidor de
impresso
LPT ou
USB ou
IR
Dispositivo de
impresso
TCP/IP ou
IPX ou
AppleTalk
Dispositivo de
impresso
Dispositivo de
impresso
Professor Mrio Aquino
Permite ao usurio:
Imprimir
Gerenciar
Impressoras
Gerenciar
Documentos
Usurio1
Word.doc
Usurio1
Prioridade
Prioridade 11
Servidor de
impresso
Usurio2
Usurio1
Usurio2
Usurio2
Word.doc
Usurio2
Prioridade
Prioridade 99
99
Professor Mrio Aquino
Permite ao usurio:
Controle Total
Gravao
Leitura
Criar todos
Adicionar qualquer tipo de objeto a uma unidade
os objetos filho organizacional
Excluir todos
Remover qualquer tipo de objeto filho de uma
os objetos filho unidade organizacional
Acesso
Permisses
Leitura
Recipiente Usurio
Usurio 11
Leitura
herdadas por
pai
Grupo
1
Controle
Total
Grupo 1 Controle Total recipientes
filho
Permisses
Leitura
Recipiente Usurio
Usurio 11
Leitura
filho
Grupo
Grupo 11 Controle
Controle Total
Total
UO1
UO2
Admin1
UO3
Domnio
Admin3
Ferramentas suplementares
Group Policy Management
Domnio, unidade organizacional e GPOs de sites
Deve ser instalado no Windows 2003. No Windows 2008 a
ferramenta padro
Professor Mrio Aquino
Domnio
UO
GPO de domnio
Site
UO
GPO da unidade
organizacional
UO
GPO de Site
GPO da unidade
organizacional
Domnio
Produo
GPOs
Vendas
Nenhuma configurao
de GPO se aplica
Vnculos conflitantes
Domnio
Produo
GPO
Vendas
Mengph
Kimyo
Grupo
diretiva de grupo
Permitir
Leitura e Aplicar
Aplicao de diretiva
Negar
de grupo
Professor Mrio Aquino
Utilitrios GPO
GPUPADTE - Fora o servidor a atualizar as polticas
com o DC
GPRESULT - Visualiza as polticas aplicadas
DCGPOFIX /target (/DC ou /Domain). Restaura a GPO
original
Permisses:
Aes no objeto
Usurios Avanados
Opers. de Contas
Usurios da rea de
trabalho remota
Administradores
Usurios
Grupos no recipiente Users:
Admins. do Domnio
Administrao de Empresa
Operadores de Cpia
Acesso compatvel com
verses anteriores ao
Windows 2000
Opers. de Impresso
Opers. de Servidores
Auditoria
A auditoria rastreia atividades do usurio e do sistema
operacional e grava eventos selecionados em logs
de segurana
O que ocorreu?
Quem fez?
Quando?
Diretiva de auditoria
Uma diretiva de auditoria determina os eventos de
segurana que sero relatados ao administrador de rede
Configure uma diretiva de auditoria para:
Rastrear o xito ou falha de eventos
Minimizar o uso no autorizado de recursos
Manter um registro de atividades
Criar uma linha de base
Eventos so armazenados em logs de segurana
Professor Mrio Aquino
Auditoria
Podemos configurar atravs do GPEDIT.MSC/GPO ou
atravs AUDITPOL
Configurao do computador>Configuraes do
Windows>Configuraes de Segurana>Diretivas
Locais>Diretivas de Auditoria
Windows 2000 e 2003 suportam 9 categorias de auditoria
Windows 2008, Vista e 7 suportam 53 sub-categorias
conhecidas como GAP - Granular Audit Policy
2008 R2 suporta Auditoria de Acesso a Objetos Globais:
SACLs de todo o computador para o registro ou sistema
de arquivos.
Logs
Aplicativo (padro)
Segurana (padro)
Sistema (padro)
Servio de diretrio
Servio de duplicao de arquivos
Setup: Somente no windows 2008. informaes sobre
instalao e remoo de softwares.
Event Subscription
Os servios Windows Remote Management (WinRM) e
Windows Event Collector (Wecsvc) precisam estar ativos
Computador de origem: winrm quickconfig
Computador coletor: wecutil qc
Adicionar a conta do computador coletor no grupo
Administrators dos computadores de origem
Os eventos so centralizados no computador coletor Forwarded Events
Descrio
Ferramentas
do Sistema
Ferramentas de
armazenamento
Ferramentas
de servios
e aplicativos
LAN
Administrador
Computador remoto
executando a Conexo de
rea de trabalho remota
Professor Mrio Aquino
Preferncias da
Conexo de rea
de trabalho remota
Geral
Caractersticas de vdeo
Recursos locais
Programas
Experincia
Gerenciador de tarefas
Funcionalidade do
Gerenciador de tarefas:
Guia Aplicativos
Guia Processos
Guia Desempenho
Guia Rede
Guia Usurios
Console Desempenho
O console Desempenho contm
o Monitor do Sistema e os
Logs e Alertas de Desempenho
Uma ferramenta para coletar
dados de desempenho do sistema
em tempo real
Uma ferramenta para gerenciar
Logs e Alertas
Logs de desempenho
Windows 2003 Logs do contador
Windows 2008 Data Collector Sets (coletores de dados)
Descrio
Quando usar
Arquivo de Texto
(delimitado
por vrgula)
Arquivo de Texto
(delimitado
por tabulao)
Arquivo binrio
Registrar instncias de
dados intermitentes
Arquivo
Circular Binrio
Registrar continuamente
o mesmo arquivo de log
Banco de
Dados SQL
Coletar dados de
desempenho da empresa
como um todo
Professor Mrio Aquino
O que um dispositivo?
Um dispositivo qualquer parte do equipamento
possvel de ser conectada a um computador
Exemplos: placa de vdeo, impressora, joystick,
adaptador de rede, placa de modem
Os dispositivos podem ser divididos em dois grupos:
Plug and Play
No Plug and Play
H trs opes
disponveis:
Bem-sucedido
silenciosamente
Avisar, mas permitir
a instalao
No permitir a instalao
Gerenciamento de discos
Gerenciamento de Disco
Use para exibir informaes do disco e executar tarefas
de gerenciamento de disco
Habilita a execuo da maioria das tarefas relacionadas a
discos sem desligar o sistema ou interromper os usurios
Windows 2008 suporta shrink de volumes
Discos bsicos
OU
Principais
Principais
C:
C:
D:
D:
E:
F:
E:
F:
G:
H:
Estendida com
unidades lgicas
Professor Mrio Aquino
Volume simples
Volume expandido
Volume estendido
Disco 1
Dinmico
4094 MB
Online
Disco 2
Dinmico
4094 MB
Online
3994 MB
No alocado
Volume estendido
Disco 2
Dinmico
4094 MB
Online
3994 MB
No alocado
3994 MB
No alocado
Dados gravados em
todos os discos em
unidades de 64 KB
Volume
distribudo
64 KB
64 KB
64 KB
Tolerncia a falhas
A capacidade de sobreviver a falhas de hardware
Os volumes tolerantes a falhas fornecem redundncia de
dados
Os volumes tolerantes a falhas exigem discos dinmicos
Os volumes tolerantes a falhas no substituem os
backups
Disco 1
Distribuio 6
Distribuio 5
Distribuio 4
Distribuio 3
Distribuio 2
Distribuio 1
Disco 2
Disco 3
Paridade
Paridade
Paridade
Paridade
Paridade
Paridade
Vantagens
Configurado no Gerenciamento de Disco
Exige discos dinmicos
RAID de software
RAID de hardware
Desempenho melhor
No exige alteraes de boot.ini
Pode expandir volumes RAID-5 existentes
Professor Mrio Aquino
Compactao de arquivo
Use a compactao para salvar o espao em disco
No use a compactao
para arquivos e pastas de sistema
A compactao configurada
como um atributo NTFS
Arquivo A
O NTFS calcula o espao
em disco com base no tamanho
do arquivo descompactado
As pastas compactadas
(zipadas) tambm
so compactadas
Arquivo B
Professor Mrio Aquino
Copiar
Mover
Herda
De parties NTFS
Mantm
Para parties NTFS
Copiar
Mover
De partio NTFS
Herda
Sem
compactao
Quota de disco
Quota de discos Windows 2003.
Gerenciado pelo windows explorer para volumes
Windows 2003 apenas em volumes
Windows 2003 R2 para volumes e pastas
Quota de discos Windows 2008.
Gerenciado pelo windows explorer para volumes
Para volumes e pastas
Gerenciado pelo FSRM - File System Resource
Manager para pastas
Professor Mrio Aquino
Disaster recovery
Backup de dados
Backups:
Copiam dados para mdia alternativa
Evitam perda de dados
Requerem as seguintes consideraes:
Que arquivos precisam de backup?
O que freqncia de backup?
Qual a necessidade de um backup de rede?
Fazer backup
de dados
Backup de dados
Windows 2003 utiliza o NTBACKUP
Proprietrios de arquivos e usurios com permisses
de leitura
Usurios com direitos para fazer backup de arquivos
e diretrios
Grupos em servidores locais:
Administradores
Operadores de cpia
Opers. de servidores
System State
Dados especficos do sistema que precisam ser
submetidos a backup como uma unidade
Componente
Registro
Sempre
Sempre
Diretrio SYSVOL
Metadiretrio do IIS
Sempre
System State
Windows 2003 realizado atravs da ferrramenta
NTBACKUP em modo grfico ou linha de comando
Windows 2008 realizado atravs do Windows Server
Backup
Executar o comando: wbadmin start systemstatebackup
backuptarget:<volume>. Onde <volume> ser a unidade
de destino do backup.
Tipos de backup
Tipo
Normal ou
Completo
Sim
Cpia
No
Diferencial
No
Incremental
Sim
Diariamente
No
Modo de segurana
Uma ferramenta para soluo de problemas no sistema
Descrio
Uso
Carrega somente
Modo seguro drivers e arquivos
bsicos
Quando o Windows no
estiver sendo iniciado
no modo Normal
Carrega somente
Modo Seguro drivers e arquivos
com Rede
bsicos, mais
conexes de rede
Carrega somente
Modo Seguro drivers e arquivos
com Prompt bsicos, alm de
de Comando uma interface de
prompt de comando
Console de Recuperao
Windows 2003 utiliza o Recovery Console
Windows 2008 utiliza o RE - Recovery Enviroment
Inclui:
Uma verso mnima do SO
Uma interface de linha de comando
Permite que os administradores:
Habilitem ou desabilitem servios/drivers
Copia de arquivos
Criem um novo setor de inicializao ou um
novo registro mestre de inicializao (MBR)
Professor Mrio Aquino